pfSense: High Availability (HA) – Alta Disponibilidade entre dois servidores

pfSense: High Availability (HA) – Alta Disponibilidade entre dois servidores

Informações importantes

 

Neste tutorial estaremos demostrando a forma simples de como realizar uma Alta Disponibilidade entre dois pfSenses (HA – High Availability), onde é realizado uma redundância entre os mesmos, afim de aumentar a disponibilidade e segurança da rede, visto que aumenta tolerância a falhas.

Tendo o cenário onde você possua apenas um link de internet e dois servidores firewall, iremos necessitar que cada servidor tenha três interfaces de rede.

  • Interface 01 – WAN
  • Interface 02 – LAN
  • Interface 03 – SYNC

 

Informações Iniciais

 

Serão necessárias 3 faixas de rede diferentes.

Cada faixa contemplará:

  • 3 IP’s disponíveis para a WAN, sendo um para cada servidor e um terceiro para ser usado como IP Virtual;
  • 3 IP’s disponíveis para LAN, sendo um para cada servidor e um terceiro para ser usado como IP Virtual;
  • 2 IP’s disponíveis em uma terceira faixa para sincronismo do HA.

No primeiro pfSense (Primário ou Master)

Configurar IP livre e válido da WAN
Configurar IP livre e válido na LAN
OBS: Placa “sync” será configurada adiante, inicialmente configuraremos somente “WAN” e “LAN”

 

No segundo pfSense (Secundário ou Slaver)

Configurar IP livre e válido da WAN
Configurar IP livre e válido na LAN
OBS: Placa “sync” será configurada adiante, inicialmente configuraremos somente “WAN” e “LAN”

 

 

Em ambos os pfSense’s, configurar a interface de sincronismo.

Na aba superior, procure: Interfaces >> Assign >> Add
Ao adicionar a placa, nomeie, em “Description” para “Sync”, padrão de nomenclatura adotado para a sincronização deste tutorial.
IPv4 ConfigurationType: Static IPv4
IPv4 Adress: Adicione a terceira faixa de rede (diferente da WAN e LAN, configuradas anteriormente).
Mascara: /24

 

 

Para ambos, faça a configuração de acordo com os IP’s livre adotados, no caso do PRIMÁRIO: 10.0.0.1 e do SECUNDÁRIO: 10.0.0.2, ambos com máscara de rede /24

 

 

Após configurado a interface SYNC, navegue para: Firewall >> Rules >> Sync
Adicione a regra e configure-a seguindo os passos:
Action: PASS
Interface: Sync
Address Family: IPv4
Protocol: Any (liberando tráfego de todo tipo de protocolo)

 

 

OBS: Caso queira algo mais restritivo basta liberar apenas o protocolo CARP, faça isso nos dois pfSense’s.

 

No pfSense Secundário, realize a seguinte etapa:

Vá em System >> High Avail. Sync
Realize a seguinte configuração: Synchronize States (deixar marcado)
Synchronize Interface: Sync

 

No pfSense Primário, realize a seguinte etapa:

 

Vá em System >> High Avail. Sync
Realize a seguinte configuração: Synchronize States (deixar marcado)
Synchronize Interface: Sync
A Diferença entre o primário e o secundário inicia agora:

  • Em pfsync Synchronize Peer Ip: Insira o IP da placa SYNC do Secundário, que é quem irá receber a sincronização.
  • Repita o mesmo IP em: Synchronize Config to IP.
  • Remote System Username: usuário do pfSense que irá receber a sincronização (Secundário)
  • Remote System Password: Senha do pfSense que irá receber a sincronização (Secundário)
  • Select Options to Sync: Nesta etapa, será marcado TODOS os serviços que irão realizar sincronização entre os pfSense’s.

 

 

 

Realizado os procedimentos acima, vá até a Aba Firewall >> Virtual IP’s, adicione uma regra:

Configurando a primeira regra de WAN:

  • Type: CARP
  • Address Type: Single Address
  • Address: Utilize um TERCEIRO IP WAN disponível na rede, gateway /24
  • Virtual IP Password: Por padrão, o mesmo do pfSense
  • Adversiting Frequency: Essa opção determina se você é o Primário (Master) ou secundário (Slave), no caso, como estamos configurando o Primário, a configuração é: Base 1 | Skew 0
  • Save

 

Configurando a segunda regra de LAN

  • As regras assemelham-se as da WAN, porém a Interface é alterada para LAN
  • Address: Será utilizado um terceiro IP para placa virtual, que servirá como ponto flutuante, atuando como Gateway da rede, caso um pfSense falhe, aquele que tomar seu lugar assume este gateway, tornando possível a redundância.
  • Em VHID group, nota-se que muda para “2”, indicando ser a segunda regra ser configurada (A primeira foi da WAN)
  • Base = 1 | Skew = 0

 

 

Realizando todo o passo a passo acima, tecnicamente está funcionando a Alta Disponibilidade (HÁ) entre os pfSense’s.
Para testarmos a funcionalidade:
Vá em: Status >> Carp (FailOver)
No pfSense Principal, aparecerá em baixo dos status das duas redes criadas (WAN e LAN) a descrição “MASTER”, enquanto no pfSense Secundário aparecerá “BACKUP”.
Note que, mesmo realizando as configurações no Master, no Slave também aparecerá as placas de rede e a descrição “BACKUP”
Qualquer configuração realizada dentro do escopo que foi configurada parar sofrer Sincronização, será repassada ao Secundário.

COMENTÁRIOS

Política de Privacidade e Termos de Uso de Dados - Dataunique Tecnologia da Informação LTDA

A Dataunique Tecnologia da Informação LTDA, empresa devidamente registrada sob o CNPJ 15.179.495/0001-35, compromete-se a proteger a privacidade e segurança dos dados pessoais de seus usuários. Esta política descreve como coletamos, usamos, compartilhamos e protegemos as informações pessoais fornecidas por você.

1. Informações Coletadas

1.1. A Dataunique coleta informações fornecidas voluntariamente por você, como nome, endereço, e-mail, número de telefone, entre outras, durante o cadastro ou utilização de nossos serviços.

1.2. Dados de acesso e utilização de nossos serviços, como endereço IP, tipo de navegador, páginas visitadas e tempo de permanência, podem ser automaticamente registrados para melhorar a qualidade dos serviços oferecidos.

2. Uso de Informações

2.1. As informações coletadas são utilizadas para fornecer, manter, proteger e melhorar nossos serviços, bem como para desenvolver novos serviços.

2.2. Podemos utilizar seus dados para personalizar conteúdos, oferecer suporte ao cliente, enviar atualizações, newsletters e informações sobre novos produtos ou serviços.

3. Compartilhamento de Informações

3.1. A Dataunique não compartilha informações pessoais com terceiros, exceto quando necessário para cumprir obrigações legais, proteger nossos direitos ou em situações autorizadas por você.

4. Segurança de Dados

4.1. Utilizamos medidas de segurança adequadas para proteger suas informações contra acessos não autorizados, alterações, divulgação ou destruição não autorizada.

5. Cookies e Tecnologias Semelhantes

5.1. Utilizamos cookies e tecnologias semelhantes para melhorar a experiência do usuário, analisar o tráfego e personalizar conteúdos.

6. Seus Direitos

6.1. Você tem o direito de acessar, corrigir ou excluir suas informações pessoais. Para exercer esses direitos ou esclarecer dúvidas, entre em contato com nosso Encarregado de Proteção de Dados (DPO) através do e-mail [email protected].

7. Alterações na Política de Privacidade

7.1. Reservamo-nos o direito de alterar esta política a qualquer momento, e as alterações serão comunicadas por meio de nossos canais de comunicação.

Ao utilizar nossos serviços, você concorda com os termos desta Política de Privacidade. Recomendamos a leitura regular desta política para se manter informado sobre como tratamos seus dados pessoais.

Dados de Contato:

  • Endereço: Rua T30, 2515, Quadra 99 Lote 11/14, Sala 1404 e 1405, Edif Walk Bueno Business Edif e Lifestyle, SET BUENO, Goiânia – GO, 74215-060.
  • Telefone: (62) 99906-0584
  • Fax/Mensageiro Online: (62) 3223-2257
  • E-mail: [email protected]

Data de vigência: [Data de atualização da política]

Atenciosamente,

Dataunique Tecnologia da Informação LTDA